Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.11.2010, 23:22   #1
Christiane
 
Antivir Meldung TR/PSW.LdPinch.L  etc. - ist alles entfernt/wieder sicher? - Standard

Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?



Hallo alle Zusammen,

heute meldete der Anti-Viren Guard den TR/PSW.LdPinch.L.. Ich habe auf "löschen" geklickt.
Beim anschließenden Virenscan mit Avira Antivir personal wurde dann noch JAVA/Agent.2212 gefunden. Auch ihn habe ich gelöscht.

Ist mein Computer nun wieder sicher? ICh bin nicht gerade ein Computerspezialist, aber ich habe gehöhrt, dass das Löschen den Trojaner etc. nicht immer sicher entfernt, bzw dass vorher schon beträchtlicher Schaden entstanden seien kann.

Daher habe ich mal die ganzen Log Files erstellt.

Könnt ihr mir sagen, ob da etwas nicht stimmt?

Große Probleme hatte ich bissher eigendlich nicht. Aber ein paar Dinge waren auffällig. (Bitte nicht lachen, ich drücke es mal mit meinen Laienworten aus.)
In letzter Zeit hatte ich ein paar kleinere Probleme. z.B. ist war mein Computer mehrmals von einem Moment zum anderen wie "eingefroren". er reagierte überhaupt auf nichts mehr. Ich mußte ihn ganz vom Strom nehmen, damit wieder alles lief.
Dann ist er manchmal plötzlich extrem langsam. Da hilft dann auch nur runterfahren und neu starten.
Ja und ungewöhnlich war auch, dass ich schon länger keinerlei Aktion am Computer mehr gemacht hatte, und dann fing er plötzlich extrem an zu arbeiten, ohne dass ich irgendwas gemacht habe.

so, dann mal die fils:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
 
Datenbank Version: 5176
 
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
 
23.11.2010 15:49:11
mbam-log-2010-11-23 (15-49-11).txt
 
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 154153
Laufzeit: 9 Minute(n), 13 Sekunde(n)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
 
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
______________________________________________

Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:16 on 23/11/2010 (Christiane ****)
 
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
 
Checking for services/drivers...
 
 
-=E.O.F=-
         
______________________________________________

Code:
ATTFilter
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-11-23 19:08:58
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD5000AAKB-00H8A0 rev.05.04E05
Running: gmer.exe; Driver: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\kgeyruod.sys
 
 
---- System - GMER 1.0.15 ----
 
SSDT            F7A812AE                                 ZwCreateKey
SSDT            F7A812A4                                 ZwCreateThread
SSDT            F7A812B3                                 ZwDeleteKey
SSDT            F7A812BD                                 ZwDeleteValueKey
SSDT            F7A812C2                                 ZwLoadKey
SSDT            F7A81290                                 ZwOpenProcess
SSDT            F7A81295                                 ZwOpenThread
SSDT            F7A812CC                                 ZwReplaceKey
SSDT            F7A812C7                                 ZwRestoreKey
SSDT            F7A812B8                                 ZwSetValueKey
SSDT            F7A8129F                                 ZwTerminateProcess
 
---- Kernel code sections - GMER 1.0.15 ----
 
init            C:\WINDOWS\system32\DRIVERS\mohfilt.sys  entry point in "init" section [0xF77E9A60]
 
---- Devices - GMER 1.0.15 ----
 
AttachedDevice  \FileSystem\Fastfat \Fat                 fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 
---- EOF - GMER 1.0.15 ----
         
_________________________________________

Code:
ATTFilter
OTL logfile created on: 23.11.2010 20:51:32 - Run 1
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\All Users\Desktop\MFtools
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 67,00% Memory free
3,00 Gb Paging File | 2,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 80,01 Gb Total Space | 58,73 Gb Free Space | 73,41% Space Free | Partition Type: NTFS
Drive D: | 255,68 Gb Total Space | 252,30 Gb Free Space | 98,68% Space Free | Partition Type: NTFS
Drive F: | 130,07 Gb Total Space | 116,21 Gb Free Space | 89,34% Space Free | Partition Type: NTFS
 
Computer Name: CHRISTIA-RB5PVB | User Name: Christiane ***** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2010.11.23 14:49:00 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\All Users\Desktop\MFtools\OTL.exe
PRC - [2010.02.01 22:51:56 | 007,418,368 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.bin
PRC - [2010.02.01 22:51:52 | 007,424,000 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.exe
PRC - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.03.05 16:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
PRC - [2009.03.02 13:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.08.09 08:27:52 | 000,073,728 | ---- | M] (HP) -- C:\WINDOWS\system32\HPZipm12.exe
PRC - [2007.03.04 21:26:16 | 000,593,920 | ---- | M] (REINER SCT) -- C:\WINDOWS\system32\cjpcsc.exe
PRC - [2007.03.04 13:28:40 | 000,020,572 | ---- | M] () -- C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
PRC - [2005.05.27 10:24:52 | 000,147,456 | ---- | M] (shbox.de) -- C:\Programme\FreePDF_XP\fpassist.exe
PRC - [2005.05.11 23:33:52 | 000,479,232 | ---- | M] (Hewlett-Packard Co.) -- C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
PRC - [2005.04.30 17:02:26 | 000,086,016 | ---- | M] (B.H.A Corporation) -- C:\WINDOWS\system32\bgsvcgen.exe
PRC - [2004.02.27 18:29:24 | 000,061,440 | ---- | M] (Hewlett-Packard) -- C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
PRC - [2003.05.14 07:20:00 | 000,055,296 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\SOUNDMAN.EXE
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.11.23 14:49:00 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\All Users\Desktop\MFtools\OTL.exe
MOD - [2010.08.23 17:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
MOD - [2008.04.14 03:22:07 | 000,060,416 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\cabinet.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ)
SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt)
SRV - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.08.29 09:00:30 | 000,033,752 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_HelperSvc.exe -- (getPlus(R) Helper) getPlus(R)
SRV - [2007.08.09 08:27:52 | 000,073,728 | ---- | M] (HP) [Auto | Running] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12)
SRV - [2007.03.04 21:26:16 | 000,593,920 | ---- | M] (REINER SCT) [Auto | Running] -- C:\WINDOWS\system32\cjpcsc.exe -- (cjpcsc)
SRV - [2005.04.30 17:02:26 | 000,086,016 | ---- | M] (B.H.A Corporation) [Auto | Running] -- C:\WINDOWS\system32\bgsvcgen.exe -- (bgsvcgen)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2009.12.07 19:06:45 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 10:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.04.13 19:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2006.06.14 13:37:04 | 000,023,040 | ---- | M] (REINER SCT) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cjusb.sys -- (cjusb)
DRV - [2006.01.28 13:58:48 | 000,014,949 | ---- | M] (franson.biz) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\bizVSerialNT.sys -- (bizVSerial)
DRV - [2005.11.04 13:39:02 | 000,245,504 | R--- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rt73.sys -- (RT73)
DRV - [2005.05.11 00:33:12 | 000,032,256 | ---- | M] (B.H.A Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\cdrbsdrv.sys -- (cdrbsdrv)
DRV - [2004.08.03 22:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rtl8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
DRV - [2004.01.20 22:52:00 | 000,051,493 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ctxc53.sys -- (ctxc53)
DRV - [2004.01.20 22:51:32 | 001,086,853 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ctxc51.sys -- (ctxc51)
DRV - [2004.01.20 22:50:36 | 000,619,369 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ctxc52.sys -- (ctxc52)
DRV - [2004.01.20 22:49:56 | 000,031,472 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mohfilt.sys -- (mohfilt)
DRV - [2003.10.14 21:10:00 | 000,036,484 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SMBios.sys -- (SMBios) Intel (R)
DRV - [2003.05.14 12:44:00 | 000,740,044 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2001.08.17 14:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
 
 
O1 HOSTS File: ([2009.12.27 19:28:33 | 000,370,743 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1    www.007guard.com
O1 - Hosts: 127.0.0.1    007guard.com
O1 - Hosts: 127.0.0.1    008i.com
O1 - Hosts: 127.0.0.1    www.008k.com
O1 - Hosts: 127.0.0.1    008k.com
O1 - Hosts: 127.0.0.1    www.00hq.com
O1 - Hosts: 127.0.0.1    00hq.com
O1 - Hosts: 127.0.0.1    010402.com
O1 - Hosts: 127.0.0.1    www.032439.com
O1 - Hosts: 127.0.0.1    032439.com
O1 - Hosts: 127.0.0.1    www.0scan.com
O1 - Hosts: 127.0.0.1    0scan.com
O1 - Hosts: 127.0.0.1    1000gratisproben.com
O1 - Hosts: 127.0.0.1    www.1000gratisproben.com
O1 - Hosts: 127.0.0.1    1001namen.com
O1 - Hosts: 127.0.0.1    www.1001namen.com
O1 - Hosts: 127.0.0.1    100888290cs.com
O1 - Hosts: 127.0.0.1    www.100888290cs.com
O1 - Hosts: 127.0.0.1    www.100sexlinks.com
O1 - Hosts: 127.0.0.1    100sexlinks.com
O1 - Hosts: 127.0.0.1    10sek.com
O1 - Hosts: 127.0.0.1    www.10sek.com
O1 - Hosts: 127.0.0.1    www.1-2005-search.com
O1 - Hosts: 127.0.0.1    1-2005-search.com
O1 - Hosts: 12778 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe (Lexware GmbH & Co. KG)
O4 - HKLM..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe (OLYMPUS IMAGING CORP.)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [StarMoneyRunEntry] C:\Programme\StarMoney Business 3.0 Deutsche Bank Edition\oflagent.exe (Star Finanz - Software Entwicklung und Vertriebs GmbH)
O4 - HKLM..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe (Hewlett-Packard)
O4 - HKLM..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe (Hewlett-Packard)
O4 - HKCU..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe (OLYMPUS IMAGING CORP.)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe (Hewlett-Packard Co.)
O4 - Startup: C:\Dokumente und Einstellungen\Christiane *****\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} hxxp://go.microsoft.com/fwlink/?linkid=58813 (Office Genuine Advantage Validation Tool)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/5/b/0/5b0d4654-aa20-495c-b89f-c1c34c691085/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172755329046 (MUWebControl Class)
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} file://C:\TempEI4\EI40_\msxml4.cab (XML DOM Document 4.0)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} hxxp://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab (HPSDDX Class)
O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} hxxp://office.microsoft.com/officeupdate/content/opuc4.cab (Office Update Installation Engine)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} hxxp://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab (get_atlcom Class)
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} hxxp://www.lokalisten.de/iup/ImageUploader4.cab (Image Uploader Control)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.03.01 09:03:04 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.11.23 16:21:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\Gmer
[2010.11.23 15:38:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.11.23 15:30:08 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2010.11.23 14:55:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\Malwarebytes
[2010.11.23 14:54:43 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.11.23 14:54:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.11.23 14:54:38 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.11.23 14:54:38 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.11.23 14:47:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Desktop\MFtools
[2010.11.23 13:34:12 | 000,000,000 | ---D | C] -- C:\Programme\HiJackThis
[2010.11.23 10:50:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2010.10.31 09:12:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\elsterformular
[2009.06.25 15:29:49 | 002,959,376 | ---- | C] (Microsoft Corporation) -- C:\Programme\dotnetfx35setup.exe
[2008.06.16 11:56:40 | 066,423,096 | ---- | C] (                                                            ) -- C:\Programme\gimp-help-2-2.4.0-setup.exe
[2008.06.16 10:58:41 | 017,950,304 | ---- | C] (                                                            ) -- C:\Programme\gimp-2.4.6-i686-setup.exe
 
========== Files - Modified Within 30 Days ==========
 
[2010.11.23 20:47:05 | 000,000,214 | ---- | M] () -- C:\WINDOWS\tasks\backup.job
[2010.11.23 20:47:04 | 000,000,442 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{5A24FF90-891C-48A3-863E-E92601F68117}.job
[2010.11.23 16:16:03 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Christiane ****\defogger_reenable
[2010.11.23 15:30:09 | 000,000,597 | ---- | M] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\NTREGOPT.lnk
[2010.11.23 15:30:09 | 000,000,578 | ---- | M] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\ERUNT.lnk
[2010.11.23 15:21:49 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.11.23 15:20:58 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[2010.11.23 15:20:31 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.11.23 14:54:46 | 000,000,682 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.11.23 14:47:45 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\defogger.exe
[2010.11.23 14:47:44 | 000,288,107 | ---- | M] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\Gmer.zip
[2010.11.23 14:44:17 | 000,471,560 | ---- | M] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\Load.exe
[2010.11.23 08:26:10 | 000,002,607 | ---- | M] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\Microsoft Office Outlook 2003.lnk
[2010.11.15 11:52:27 | 000,000,043 | ---- | M] () -- C:\WINDOWS\hpfccopy.INI
[2010.11.13 12:20:01 | 000,006,144 | ---- | M] () -- C:\Dokumente und Einstellungen\Christiane ****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.10.31 09:04:04 | 000,000,711 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk
[2010.10.31 08:03:16 | 000,462,570 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.10.31 08:03:16 | 000,444,276 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.10.31 08:03:16 | 000,085,592 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.10.31 08:03:16 | 000,072,152 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
 
========== Files Created - No Company Name ==========
 
[2010.11.23 16:16:03 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\defogger_reenable
[2010.11.23 15:30:09 | 000,000,597 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\NTREGOPT.lnk
[2010.11.23 15:30:09 | 000,000,578 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\ERUNT.lnk
[2010.11.23 14:54:46 | 000,000,682 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.11.23 14:47:45 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\defogger.exe
[2010.11.23 14:47:41 | 000,288,107 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\Gmer.zip
[2010.11.23 14:44:12 | 000,471,560 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\Load.exe
[2010.10.31 09:04:04 | 000,000,711 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk
[2009.06.25 16:05:46 | 020,834,304 | ---- | C] () -- C:\Programme\setup-KingBill-2009.msi
[2008.06.07 16:47:50 | 000,000,591 | ---- | C] () -- C:\WINDOWS\hbcikrnl.ini
[2008.06.07 16:47:33 | 000,167,936 | ---- | C] () -- C:\WINDOWS\System32\SerialXP.dll
[2008.06.07 16:47:33 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\win32com.dll
[2008.04.16 16:59:49 | 000,000,385 | ---- | C] () -- C:\WINDOWS\hpbvspst.ini
[2007.11.10 21:08:39 | 000,003,174 | ---- | C] () -- C:\WINDOWS\tm.ini
[2007.10.30 16:10:15 | 000,000,017 | ---- | C] () -- C:\WINDOWS\Missing.ini
[2007.10.30 16:08:55 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD-Start.INI
[2007.10.23 14:50:16 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\LXPrnUtil10.dll
[2007.10.23 14:47:02 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll
[2007.10.23 14:44:46 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll
[2007.10.23 14:44:28 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll
[2007.09.06 12:04:50 | 000,000,000 | ---- | C] () -- C:\WINDOWS\hpqEmlSz.INI
[2007.07.31 09:31:18 | 000,000,000 | ---- | C] () -- C:\WINDOWS\distlib.ini
[2007.05.13 21:08:40 | 000,000,037 | ---- | C] () -- C:\WINDOWS\TemplateWizard.INI
[2007.04.04 10:25:31 | 000,000,043 | ---- | C] () -- C:\WINDOWS\hpfccopy.INI
[2007.03.05 15:35:46 | 000,000,234 | ---- | C] () -- C:\WINDOWS\PrnHlpLogConfig.ini
[2007.03.05 15:34:55 | 000,000,214 | ---- | C] () -- C:\WINDOWS\HP_InstantSHareJPG.ini
[2007.03.05 15:30:02 | 000,000,217 | ---- | C] () -- C:\WINDOWS\HP_IZClosingDiscErrorPatch.ini
[2007.03.05 15:28:50 | 000,000,221 | ---- | C] () -- C:\WINDOWS\HP_RedboxHprblog_HPSU.ini
[2007.03.05 13:34:28 | 000,676,224 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.DLL
[2007.03.04 14:53:16 | 000,000,134 | ---- | C] () -- C:\WINDOWS\uno.ini
[2007.03.04 14:53:16 | 000,000,056 | ---- | C] () -- C:\WINDOWS\sversion.ini
[2007.03.04 14:53:15 | 000,000,532 | ---- | C] () -- C:\WINDOWS\cp8icc32.ini
[2007.03.04 14:02:33 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007.03.04 13:29:41 | 000,074,752 | ---- | C] () -- C:\WINDOWS\System32\jst.dll
[2007.03.04 13:29:41 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\PMLJNI.dll
[2007.03.04 13:26:03 | 000,001,020 | ---- | C] () -- C:\WINDOWS\hpbvnstp.ini
[2007.03.04 13:25:48 | 000,192,512 | R--- | C] () -- C:\WINDOWS\System32\HPB1320V.DLL
[2007.03.04 13:24:59 | 000,000,356 | ---- | C] () -- C:\WINDOWS\hplj1320.ini
[2007.03.04 13:21:00 | 000,000,150 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007.03.04 13:10:22 | 000,004,404 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
[2007.03.01 14:39:26 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.03.01 14:33:30 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2007.03.01 12:05:43 | 000,122,897 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\Update_HP_RedboxHprblog_HPSU.log
[2007.03.01 12:05:43 | 000,027,867 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\Kommagetrennte Werte (Windows).ADR
[2007.03.01 12:05:43 | 000,012,423 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\PatchUpdate_IZClosingDiscError.log
[2007.03.01 12:05:43 | 000,009,915 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\PatchUpdate_InstantShareJPG.log
[2007.03.01 12:05:43 | 000,002,769 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\PatchUpdate_HP_ISRegionListUpdatelog_HPSU.log
[2007.03.01 12:05:43 | 000,001,109 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\HelpFilesUpdatePatch_PRINTHELPWRAPPER.log
[2007.03.01 12:05:43 | 000,000,077 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\sversion.ini
[2007.03.01 12:05:43 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\HelpFilesUpdatePatch_HELPFILEREPLACE.log
[2007.03.01 10:59:42 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007.03.01 10:24:59 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini
[2007.03.01 08:55:26 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2006.09.21 13:53:28 | 000,282,679 | ---- | C] () -- C:\WINDOWS\System32\dnt27.dll
[2006.09.21 13:52:24 | 000,077,882 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27.dll
[2006.09.21 13:52:14 | 000,077,881 | ---- | C] () -- C:\WINDOWS\System32\dntvm27.dll
[2004.05.24 13:05:46 | 000,287,744 | ---- | C] () -- C:\WINDOWS\System32\uno364mi.dll
[2004.05.24 13:05:46 | 000,109,568 | ---- | C] () -- C:\WINDOWS\System32\vos364mi.dll
[2004.05.24 13:05:46 | 000,091,648 | ---- | C] () -- C:\WINDOWS\System32\osl364mi.dll
[2004.05.24 12:46:00 | 000,000,115 | ---- | C] () -- C:\WINDOWS\ReaderConfig.ini
[2003.10.07 15:52:18 | 000,000,596 | ---- | C] () -- C:\WINDOWS\dx.ini
[2003.04.02 13:00:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\olethk32.dll
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2001.07.31 11:17:12 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL
[2000.12.04 21:27:06 | 000,110,080 | ---- | C] () -- C:\WINDOWS\System32\W32MKRC.DLL
[1999.05.14 16:05:22 | 000,015,627 | ---- | C] () -- C:\WINDOWS\System32\WBROLLRS.DLL
 
========== LOP Check ==========
 
[2008.02.10 14:56:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BTrieve
[2010.10.31 09:04:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
[2008.02.10 15:03:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lexware
[2009.12.27 15:27:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\Acronis
[2008.02.13 17:00:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\DataDesign
[2010.10.31 09:12:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\elsterformular
[2009.08.09 09:32:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\gtk-2.0
[2008.02.10 15:01:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\Lexware
[2007.11.02 09:21:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\OfficeUpdate12
[2007.09.13 11:18:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\OLYMPUS
[2010.03.21 10:17:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\OpenOffice.org
[2010.11.23 20:47:05 | 000,000,214 | ---- | M] () -- C:\WINDOWS\Tasks\backup.job
[2010.11.23 20:47:04 | 000,000,442 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{5A24FF90-891C-48A3-863E-E92601F68117}.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2007.03.01 09:03:04 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2007.03.01 09:48:01 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2003.04.02 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2007.03.01 09:03:04 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2010.09.30 16:39:28 | 000,000,000 | ---- | M] () -- C:\ctapi_out_gr.txt
[2009.12.27 19:28:28 | 010,952,234 | ---- | M] () -- C:\immudebug.log
[2007.03.01 09:03:05 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2007.03.01 09:03:05 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2007.03.01 09:44:08 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2008.09.13 08:42:12 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2010.11.23 15:20:27 | 792,723,456 | -HS- | M] () -- C:\pagefile.sys
[2010.11.23 15:22:42 | 000,006,552 | ---- | M] () -- C:\statusclient.log
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
[2006.04.18 14:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont
[2006.06.29 13:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont
[2006.04.18 14:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont
[2006.06.29 13:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont
 
< %systemroot%\Fonts\*.dll >
[2005.05.11 22:36:48 | 000,012,288 | ---- | M] (Hewlett-Packard Co.) -- C:\WINDOWS\Fonts\RandFont.dll
 
< %systemroot%\Fonts\*.ini >
[2007.03.01 09:02:47 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
[2008.07.06 13:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll
[2004.04.15 20:43:08 | 000,061,952 | ---- | M] (Hewlett-Packard Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\HPZPP041.DLL
[2007.04.09 13:23:54 | 000,028,552 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\mdippr.dll
[2008.07.06 11:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
[2007.12.05 14:47:42 | 000,899,326 | ---- | M] (Irfan Skiljan) -- C:\WINDOWS\Bildschirmschoner Nymphies.scr
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
 
< %PROGRAMFILES%\*.* >
[2009.06.25 15:29:49 | 002,959,376 | ---- | M] (Microsoft Corporation) -- C:\Programme\dotnetfx35setup.exe
[2008.06.16 10:58:41 | 017,950,304 | ---- | M] (                                                            ) -- C:\Programme\gimp-2.4.6-i686-setup.exe
[2008.06.16 11:56:43 | 066,423,096 | ---- | M] (                                                            ) -- C:\Programme\gimp-help-2-2.4.0-setup.exe
[2009.06.25 16:06:11 | 020,834,304 | ---- | M] () -- C:\Programme\setup-KingBill-2009.msi
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2007.03.01 09:53:45 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2007.03.01 09:53:45 | 000,606,208 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2007.03.01 09:53:45 | 000,397,312 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\system32\user32.dll /md5 >
[2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2008.04.14 03:22:32 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll
 
< %systemroot%\system32\ws2help.dll /md5 >
[2008.04.14 03:22:32 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll
 
 
< MD5 for: EXPLORER.EXE  >
[2004.08.04 00:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
[2007.06.13 14:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[2007.06.13 14:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
 
< MD5 for: WINLOGON.EXE  >
[2004.08.04 00:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2010-11-10 22:33:00
 
< End of report >
         
________________________________________________

Code:
ATTFilter
OTL Extras logfile created on: 23.11.2010 20:51:32 - Run 1
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\All Users\Desktop\MFtools
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 67,00% Memory free
3,00 Gb Paging File | 2,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 80,01 Gb Total Space | 58,73 Gb Free Space | 73,41% Space Free | Partition Type: NTFS
Drive D: | 255,68 Gb Total Space | 252,30 Gb Free Space | 98,68% Space Free | Partition Type: NTFS
Drive F: | 130,07 Gb Total Space | 116,21 Gb Free Space | 89,34% Space Free | Partition Type: NTFS
 
Computer Name: CHRISTIA-RB5PVB | User Name: Christiane ****| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe" = C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe:*:Enabled:javaw -- ()
"C:\Programme\Namo\WebEditor 6\bin\WebEditor.exe" = C:\Programme\Namo\WebEditor 6\bin\WebEditor.exe:*:Enabled:Namo WebEditor 6 -- (Sejoong Namo Interactive, Inc.)
"C:\Programme\Namo\WebCanvas\bin\WebCanvas.exe" = C:\Programme\Namo\WebCanvas\bin\WebCanvas.exe:*:Enabled:WebCanvas Application -- (Sejoong Namo Interactive, inc.)
"C:\Programme\Java\jre6\bin\java.exe" = C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{03B1B42B-F6DE-41d9-8CFF-DC44E895C7A7}" = PhotoGallery
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{09984AEC-6B9F-4ca7-B78D-CB44D4771DA3}" = Destinations
"{17577A7A-DA8C-4EA4-BBC2-1C8BDB5AF641}" = hpg3800
"{1C136BE4-49DE-11D5-8E66-00105A5A0888}" = db dialog
"{1F51A0CA-2BDD-474E-BB90-C7FA8EA78F52}" = ImageMixer VCD/DVD2 for OLYMPUS
"{21DB3D90-D816-4092-A260-CA3F6B55A6DD}" = Sonic_PrimoSDK
"{2217B0B4-35CB-48C6-B640-864DF2F30F99}" = OpenOffice.org 3.2
"{23A7B376-BBEC-4e76-BBD7-0F155E70D74B}" = CP_Panorama1Config
"{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java(TM) 6 Update 17
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{32BDCCB8-9DC8-496d-9DB1-F77510775BDB}" = InstantShareDevices
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36E47DA1-10E1-45d9-8B19-14D19607CDCF}" = CP_CalendarTemplates1
"{539B0A82-CF4A-42CC-A46C-F417099FB0D7}" = Lexware online banking
"{53EE9E42-CECB-4C92-BF76-9CA65DAF8F1C}" = FullDPAppQFolder
"{56EE8B17-8274-418d-89AC-C057C5DB251E}" = RandMap
"{56F8AFC3-FA98-4ff1-9673-8A026CBF85BE}" = WebReg
"{5A01C58E-B0EC-49b9-AD71-7C0468688087}" = CP_Package_Basic1
"{5F26311C-B135-4F7F-B11E-8E650F83651E}" = DeviceFunctionQFolder
"{6009D06E-9E4B-4315-B1FC-5EF923F1954F}" = StarMoney Business 3.0 Deutsche Bank Edition
"{66BA8C26-AFE4-4408-807B-43E76B57EF53}" = SkinsHP1
"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder
"{6BB6627C-694F-4FDC-A3E5-C7F4BED4C724}" = DocProc
"{6FBABF2B-2355-4839-91BF-C86D9DB16934}" = Lexware Abschreibungsrechner 2008
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7C1673C5-CC42-4bba-9425-EE25E646CAE7}" = HP Scanjet 3800 series
"{7E27304E-BAA2-4d90-A34E-76641FAFABB4}" = CP_AtenaShokunin1Config
"{7F04B272-E0DD-47E7-8B55-D97483DB0EBD}" = hp LaserJet 1160/1320 series
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A55DFA8-747B-431F-9CF1-E31FD6C94FF2}" = Namo WebUtilities
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics Driver
"{8B50F367-2686-4256-BA05-708B299961DF}" = Lexware Elster
"{8C6027FD-53DC-446D-BB75-CACD7028A134}" = HP Update
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{91110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{95CBA0F7-C01D-47C0-A749-9B934E197D32}" = Namo WebCanvas
"{97DB378D-9F05-4974-B7BA-AD8B3DD9EB5A}" = Lexware büro easy
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A195B13E-A5E3-4BAF-A995-7F70F445CD06}" = ScannerCopy
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A5BB5365-EFB4-44c3-A7E2-EB59B7EFD23D}" = CueTour
"{AAA272AB-298D-477f-B611-D8AE4B91E54B}" = hpg3800QFolder
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1.3 - Deutsch
"{B388231D-672A-4169-A3DF-BD80266252AB}" = StarMoney
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}" = ElsterFormular 2007/2008
"{B4D279F1-4309-49cc-A4B5-3A0D2E59C7B5}" = PanoStandAlone
"{B6FA7BE5-6C3F-42AF-B3C1-C1F4536920C5}" = Lexware Abschreibungsrechner
"{B8DBED1E-8BC3-4d08-B94A-F9D7D88E9BBF}" = HPSSupply
"{B996AE66-10DB-4ac5-B151-E8B4BFBC42FC}" = BufferChm
"{BA820A24-704B-428D-9904-71A10DAC1372}" = OLYMPUS Master
"{BEDFB0D0-CA1E-4CBA-9664-B25A74019D0C}" = Lexware Info Service
"{C0627CB8-76ED-4F6C-8E13-E2981AF99523}" = Marco Polo TravelRouting Europe 2004
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C506A18C-1469-4678-B094-F4EC9DAE6DB7}" = Scan
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CBBCBE04-EA5E-4201-A924-E7ED3E8686AE}" = ElsterFormular 2006/2007
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}" = getPlus(R) for Adobe
"{E3F90083-80D4-4b5a-87C7-E97E12F5516D}" = HPProductAssistant
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EA103B64-C0E4-4C0E-A506-751590E1653D}" = SolutionCenter
"{EF3FA287-2622-4340-AAF6-0AD29F21A691}" = Namo WebEditor 6
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FC338210-F594-11D3-BA24-00001C3AB4DF}" = cyberJack Base Components
"{FEB6267D-47E0-41DD-99F7-C8C68B9899F3}" = WebSign Basiskomponeten
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Adobe SVG Viewer" = Adobe SVG Viewer 3.0
"AFPL Ghostscript 8.53" = AFPL Ghostscript 8.53
"AFPL Ghostscript Fonts" = AFPL Ghostscript Fonts
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Creatix V.9X data fax modem" = Creatix V.9X data fax modem
"ElsterFormular 11.5.1.4843" = ElsterFormular
"ERUNT_is1" = ERUNT 1.1j
"FreePDF_XP" = FreePDF XP (Remove only)
"HijackThis" = HijackThis 2.0.2
"HP Imaging Device Functions" = HP Imaging Device Functions 5.3
"HP Photo & Imaging" = HP Image Zone 5.3
"HP Solution Center & Imaging Support Tools" = HP Solution Center & Imaging Support Tools 5.3
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{BA820A24-704B-428D-9904-71A10DAC1372}" = OLYMPUS Master
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"QuickTime" = QuickTime
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"Shop for HP Supplies" = Shop for HP Supplies
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.4.6
"WinZip" = WinZip
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 12.07.2010 05:00:32 | Computer Name = CHRISTIA-RB5PVB | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung gswin32c.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul gsdll32.dll, Version 0.0.0.0, Fehleradresse 0x001b90e4.
 
Error - 12.07.2010 05:20:30 | Computer Name = CHRISTIA-RB5PVB | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 3.2.9476.500, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 12.07.2010 06:18:49 | Computer Name = CHRISTIA-RB5PVB | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 3.2.9476.500, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 05.09.2010 14:18:40 | Computer Name = CHRISTIA-RB5PVB | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OIS.EXE, Version 11.0.8161.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 05.09.2010 14:20:15 | Computer Name = CHRISTIA-RB5PVB | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OIS.EXE, Version 11.0.8161.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 12.09.2010 02:33:25 | Computer Name = CHRISTIA-RB5PVB | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 22.09.2010 14:40:40 | Computer Name = CHRISTIA-RB5PVB | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul wzcsvc.dll, Version 5.1.2600.5512, Fehleradresse 0x0002d3ae.
 
Error - 12.11.2010 10:01:22 | Computer Name = CHRISTIA-RB5PVB | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OUTLOOK.EXE, Version 11.0.8325.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 12.11.2010 10:01:40 | Computer Name = CHRISTIA-RB5PVB | Source = Application Hang | ID = 1001
Description = Fehlerhafter Speicherbereich 1954950771.
 
Error - 12.11.2010 10:03:26 | Computer Name = CHRISTIA-RB5PVB | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OUTLOOK.EXE, Version 11.0.8325.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 02.11.2010 13:35:08 | Computer Name = CHRISTIA-RB5PVB | Source = SCardSvr | ID = 610
Description = Smartcardleser "REINER SCT cyberJack pinpad/e-com USB 52" verweigerte
 IOCTL POWER: Kein Medium im Laufwerk.
 
Error - 09.11.2010 03:43:12 | Computer Name = CHRISTIA-RB5PVB | Source = SCardSvr | ID = 610
Description = Smartcardleser "REINER SCT cyberJack pinpad/e-com USB 52" verweigerte
 IOCTL POWER: Kein Medium im Laufwerk.
 
Error - 09.11.2010 03:43:31 | Computer Name = CHRISTIA-RB5PVB | Source = SCardSvr | ID = 610
Description = Smartcardleser "REINER SCT cyberJack pinpad/e-com USB 52" verweigerte
 IOCTL POWER: Kein Medium im Laufwerk.
 
Error - 12.11.2010 03:58:33 | Computer Name = CHRISTIA-RB5PVB | Source = SCardSvr | ID = 610
Description = Smartcardleser "REINER SCT cyberJack pinpad/e-com USB 52" verweigerte
 IOCTL POWER: Kein Medium im Laufwerk.
 
Error - 12.11.2010 03:58:53 | Computer Name = CHRISTIA-RB5PVB | Source = SCardSvr | ID = 610
Description = Smartcardleser "REINER SCT cyberJack pinpad/e-com USB 52" verweigerte
 IOCTL POWER: Kein Medium im Laufwerk.
 
Error - 23.11.2010 10:01:16 | Computer Name = CHRISTIA-RB5PVB | Source = Service Control Manager | ID = 7034
Description = Dienst "B's Recorder GOLD Library General Service" wurde unerwartet
 beendet. Dies ist bereits 1 Mal passiert.
 
Error - 23.11.2010 10:01:16 | Computer Name = CHRISTIA-RB5PVB | Source = Service Control Manager | ID = 7034
Description = Dienst "Machine Debug Manager" wurde unerwartet beendet. Dies ist 
bereits 1 Mal passiert.
 
Error - 23.11.2010 10:01:16 | Computer Name = CHRISTIA-RB5PVB | Source = Service Control Manager | ID = 7034
Description = Dienst "cyberJack PC/SC COM Service " wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 23.11.2010 10:01:16 | Computer Name = CHRISTIA-RB5PVB | Source = Service Control Manager | ID = 7034
Description = Dienst "Pml Driver HPZ12" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 23.11.2010 10:01:16 | Computer Name = CHRISTIA-RB5PVB | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
 
< End of report >
         
___________________________________

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:38:57, on 23.11.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\Java\jre6\bin\jucheck.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HiJackThis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [StarMoneyRunEntry] "C:\Programme\StarMoney Business 3.0 Deutsche Bank Edition\oflagent.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172755329046
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} (HPSDDX Class) - hxxp://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - hxxp://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - hxxp://www.lokalisten.de/iup/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA9949E0-7C11-4045-828D-90143CB93F89}: NameServer = 192.168.2.1
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: cyberJack PC/SC COM Service  (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 
--
End of file - 7480 bytes
         

So, das war alles. Ich hoffe, ich hab alles richtig gemacht und ihr könnt mir sagen, ob alles in Ordnung und mein Computer sicher ist.

Liebe Grüße
Christiane

Alt 24.11.2010, 12:43   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivir Meldung TR/PSW.LdPinch.L  etc. - ist alles entfernt/wieder sicher? - Standard

Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?



Zitat:
heute meldete der Anti-Viren Guard den TR/PSW.LdPinch.L.. Ich habe auf "löschen" geklickt.
Beim anschließenden Virenscan mit Avira Antivir personal wurde dann noch JAVA/Agent.2212 gefunden.
Pfadangaben fehlen! Poste das Log von AntiVir mit den Funden!
Hat Malwarebytes tatsächlich nichts gefunden oder hast du nur das Log ohne Funde gepostet?
__________________

__________________

Alt 24.11.2010, 15:11   #3
Christiane
 
Antivir Meldung TR/PSW.LdPinch.L  etc. - ist alles entfernt/wieder sicher? - Standard

Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?



Hallo Cosinus,
danke für deinen Hinweis auf fehlende Angaben!

Meintest du das mit Pfad?

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AYM6S7ZQ\12[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/PSW.LdPinch.L' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\14.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/PSW.LdPinch.L' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Die Datei 'C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\788bfa7a-5911cfce'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Agent.2212' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d23b0f1.qua' verschoben!

1. JAVA/Agent.2212

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 23. November 2010  11:59
 
Es wird nach 3080184 Virenstämmen gesucht.
 
Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : CHRISTIA-RB5PVB
 
Versionsinformationen:
BUILD.DAT      : 9.0.0.429     21701 Bytes  06.10.2010 09:59:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  19.11.2009 15:58:31
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 12:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 11:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 10:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 15:58:31
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 15:51:23
VBASE002.VDF   : 7.10.3.1    3143680 Bytes  20.01.2010 18:40:56
VBASE003.VDF   : 7.10.3.75    996864 Bytes  26.01.2010 18:42:29
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 18:42:11
VBASE005.VDF   : 7.10.6.82   2494464 Bytes  15.04.2010 17:24:20
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 17:33:15
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 18:53:09
VBASE008.VDF   : 7.10.11.133   3454464 Bytes  13.09.2010 09:14:58
VBASE009.VDF   : 7.10.13.80   2265600 Bytes  02.11.2010 19:44:18
VBASE010.VDF   : 7.10.13.81      2048 Bytes  02.11.2010 19:44:18
VBASE011.VDF   : 7.10.13.82      2048 Bytes  02.11.2010 19:44:18
VBASE012.VDF   : 7.10.13.83      2048 Bytes  02.11.2010 19:44:18
VBASE013.VDF   : 7.10.13.116    147968 Bytes  04.11.2010 19:37:19
VBASE014.VDF   : 7.10.13.147    146944 Bytes  07.11.2010 19:37:23
VBASE015.VDF   : 7.10.13.180    123904 Bytes  09.11.2010 19:37:44
VBASE016.VDF   : 7.10.13.211    122368 Bytes  11.11.2010 19:37:24
VBASE017.VDF   : 7.10.13.243    147456 Bytes  15.11.2010 19:37:26
VBASE018.VDF   : 7.10.14.15    142848 Bytes  17.11.2010 19:37:31
VBASE019.VDF   : 7.10.14.41    134144 Bytes  19.11.2010 07:10:11
VBASE020.VDF   : 7.10.14.63    128000 Bytes  22.11.2010 07:25:22
VBASE021.VDF   : 7.10.14.64      2048 Bytes  22.11.2010 07:25:22
VBASE022.VDF   : 7.10.14.65      2048 Bytes  22.11.2010 07:25:22
VBASE023.VDF   : 7.10.14.66      2048 Bytes  22.11.2010 07:25:22
VBASE024.VDF   : 7.10.14.67      2048 Bytes  22.11.2010 07:25:22
VBASE025.VDF   : 7.10.14.68      2048 Bytes  22.11.2010 07:25:23
VBASE026.VDF   : 7.10.14.69      2048 Bytes  22.11.2010 07:25:23
VBASE027.VDF   : 7.10.14.70      2048 Bytes  22.11.2010 07:25:23
VBASE028.VDF   : 7.10.14.71      2048 Bytes  22.11.2010 07:25:23
VBASE029.VDF   : 7.10.14.72      2048 Bytes  22.11.2010 07:25:23
VBASE030.VDF   : 7.10.14.73      2048 Bytes  22.11.2010 07:25:23
VBASE031.VDF   : 7.10.14.75     24576 Bytes  22.11.2010 07:25:24
Engineversion  : 8.2.4.112
AEVDF.DLL      : 8.1.2.1      106868 Bytes  29.07.2010 18:40:50
AESCRIPT.DLL   : 8.1.3.47    1294716 Bytes  23.11.2010 07:25:53
AESCN.DLL      : 8.1.7.2      127349 Bytes  23.11.2010 07:25:48
AESBX.DLL      : 8.1.3.2      254324 Bytes  23.11.2010 07:25:54
AERDL.DLL      : 8.1.9.2      635252 Bytes  21.09.2010 18:35:58
AEPACK.DLL     : 8.2.3.11     471416 Bytes  11.10.2010 18:37:24
AEOFFICE.DLL   : 8.1.1.10     201084 Bytes  23.11.2010 07:25:48
AEHEUR.DLL     : 8.1.2.44    3076471 Bytes  23.11.2010 07:25:46
AEHELP.DLL     : 8.1.14.0     246134 Bytes  11.10.2010 18:36:44
AEGEN.DLL      : 8.1.4.2      401781 Bytes  23.11.2010 07:25:30
AEEMU.DLL      : 8.1.3.0      393589 Bytes  23.11.2010 07:25:28
AECORE.DLL     : 8.1.18.1     196984 Bytes  23.11.2010 07:25:26
AEBB.DLL       : 8.1.1.0       53618 Bytes  23.04.2010 17:10:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 08:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  09.11.2009 10:09:25
AVREP.DLL      : 8.0.0.7      159784 Bytes  17.02.2010 18:08:47
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 15:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 15:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 10:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 15:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 08:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 15:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 15:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  19.11.2009 15:58:30
 
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
 
Beginn des Suchlaufs: Dienstag, 23. November 2010  11:59
 
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '64966' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
 
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqimzone.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'javaw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LxUpdateManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StatusClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cjpcsc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bgsvcgen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '48' Prozesse mit '48' Modulen durchsucht
 
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
 
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!
 
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '61' Dateien ).
 
 
Der Suchlauf über die ausgewählten Dateien wird begonnen:
 
Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\788bfa7a-5911cfce
  [0] Archivtyp: ZIP
    --> bpac/a.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
Beginne mit der Suche in 'D:\' <Daten>
Beginne mit der Suche in 'F:\' <Sysbackup>
 
Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\788bfa7a-5911cfce
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d23b0f1.qua' verschoben!
 
 
Ende des Suchlaufs: Dienstag, 23. November 2010  13:16
Benötigte Zeit:  1:10:40 Stunde(n)
 
Der Suchlauf wurde vollständig durchgeführt.
 
   8529 Verzeichnisse wurden überprüft
 594249 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 594247 Dateien ohne Befall
   8218 Archive wurden durchsucht
      1 Warnungen
      2 Hinweise
  64966 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         
2. Der TR/PSW.LdPinch.L wurde vom Gard gefunden, nicht beim Suchlauf von Antivir und ich habe direkt gelöscht. Einen Log File konnte ich da nicht finden.

Hab gerade nicht mehr Zeit, in ca. einer Stunde schaue ich noch mal Malwarebytes an, ob ich etwas vergessen habe zu posten.

Bis später, liebe Grüße
Christiane
__________________

Alt 24.11.2010, 17:08   #4
Christiane
 
Antivir Meldung TR/PSW.LdPinch.L  etc. - ist alles entfernt/wieder sicher? - Standard

Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?



So, da bin ich wieder.

Und nun habe ich doch noch etwas über den Fund vom AntiVir Guard gefunden:

Code:
ATTFilter
23.11.2010,08:17:02 ---------------------------------------------------------
23.11.2010,08:17:20 Lizenzdatei enthält eine gültige Lizenz. Der Avira AntiVir Personal - Free Antivirus Dienst  läuft als uneingeschränkte Vollversion!
23.11.2010,08:17:20 AntiVir Guard version: 9.00.01.32,  engine version 8.2.4.98,  VDF version: 7.10.14.56
23.11.2010,08:17:22 AntiVir Guard wurde aktiviert.
23.11.2010,08:17:22 Der Avira AntiVir Personal - Free Antivirus Dienst wurde erfolgreich gestartet!
23.11.2010,08:17:22 [CONFIG]  Verwendete Konfiguration der Echtzeitsuche:
      - Geprüfte Dateien:  Dateien von lokalen Laufwerken prüfen
      - Geprüfte Dateien:  Intelligente Dateiauswahl
      - Gerätemodus:  Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
      - Aktion: Benutzer fragen
      - Archive durchsuchen: Deaktiviert
      - Makrovirenheuristik: Aktiviert
      - Win32 Dateiheuristik: Erkennungsstufe mittel
      - Protokollierungsstufe: Standard
23.11.2010,08:26:20 Update-Auftrag gestartet!
23.11.2010,08:26:33 Aktuelle Engine Version: 8.2.4.112
23.11.2010,08:26:33 Aktuelle Version der VDF-Datei: 7.10.14.75
23.11.2010,10:49:26 [WARNUNG]  Ist das Trojanische Pferd TR/PSW.LdPinch.L!
  C:\Dokumente und Einstellungen\Christiane ****\Lokale Einstellungen\Temp\14.tmp
      [USER] CHRISTIA-RB5PVB\CHRISTIANE ****
      [INFO]  Die Datei wird gelöscht!
23.11.2010,10:49:26 [WARNUNG]  Ist das Trojanische Pferd TR/PSW.LdPinch.L!
  C:\Dokumente und Einstellungen\Christiane ****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AYM6S7ZQ\12[1].exe
      [USER] CHRISTIA-RB5PVB\CHRISTIANE ****      [INFO]  Die Datei wird gelöscht!
23.11.2010,15:19:57 Der Avira AntiVir Personal - Free Antivirus Dienst wurde beendet!
23.11.2010,15:20:37 ---------------------------------------------------------
         

Zitat:
Hat Malwarebytes tatsächlich nichts gefunden oder hast du nur das Log ohne Funde gepostet?
Hm, das gepostete ist die ganze Logdatei. Ich habe nichts daran verändert. Stehen die Funde denn woanders? Die Quarantäne ist auch leer. Oder was meintest du?

Liebe Grüße
Christiane

Alt 24.11.2010, 17:43   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivir Meldung TR/PSW.LdPinch.L  etc. - ist alles entfernt/wieder sicher? - Standard

Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?



Schau mal in Malwarebytes im Reiter Logdatein nach. Für jeden Durchgang gibt es ein Log. Musst du wissen wie viele Durchgänge du mit MBAM schon gemacht hast und ob diese Anzahl mit der der aufgelisteten Logfiles übereinstimmt. Wenn du nur einen Durchgang mit MBAM gemacht hast ist das schon so ok.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.11.2010, 17:53   #6
Christiane
 
Antivir Meldung TR/PSW.LdPinch.L  etc. - ist alles entfernt/wieder sicher? - Standard

Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?



Hallo Arne,

O.K. ich habe bisher nur einen Durchgang gemacht.

LG
Christiane

Alt 24.11.2010, 17:55   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivir Meldung TR/PSW.LdPinch.L  etc. - ist alles entfernt/wieder sicher? - Standard

Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?



Zitat:
Art des Suchlaufs: Quick-Scan
Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.11.2010, 18:47   #8
Christiane
 
Antivir Meldung TR/PSW.LdPinch.L  etc. - ist alles entfernt/wieder sicher? - Standard

Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?



Hier das Ergebniss des Vollscans (Aktualisierung habe ich vorher vorgenommen):

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5182

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.11.2010 18:40:13
mbam-log-2010-11-24 (18-40-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Durchsuchte Objekte: 238332
Laufzeit: 35 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
LG
Christiane

Alt 24.11.2010, 20:30   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivir Meldung TR/PSW.LdPinch.L  etc. - ist alles entfernt/wieder sicher? - Standard

Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.11.2010, 22:11   #10
Christiane
 
Antivir Meldung TR/PSW.LdPinch.L  etc. - ist alles entfernt/wieder sicher? - Standard

Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?



Kurze Zwischenfrage:

Zitat:
Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung
Da werde ich gefragt: "Änderungen in der Registry sicher?" wenn ich auf "Fehler beheben" klicke.

Soll ich ja oder nein anklicken?

LG
Christiane

Alt 24.11.2010, 22:43   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivir Meldung TR/PSW.LdPinch.L  etc. - ist alles entfernt/wieder sicher? - Standard

Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?



Ja mach das ruhig. Damit wird nur ein backup erzeugt, damit man die gelöschten Einträge aus der Registry notfalls wiederherstellen kann.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.11.2010, 10:40   #12
Christiane
 
Antivir Meldung TR/PSW.LdPinch.L  etc. - ist alles entfernt/wieder sicher? - Standard

Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?



Guten Morgen,
gestern war ich einfach zu müde, um Combofix noch laufen zu lassen.
Daher erst heute das Ergebnis:

Code:
ATTFilter
ComboFix 10-11-24.01 - Christiane **** 25.11.2010  10:12:15.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2039.1565 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Christiane *****\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Fonts\wst_fren.fon

.
(((((((((((((((((((((((   Dateien erstellt von 2010-10-25 bis 2010-11-25  ))))))))))))))))))))))))))))))
.

2010-11-24 20:51 . 2010-11-24 22:31	--------	d-----w-	c:\programme\CCleaner
2010-11-23 14:30 . 2010-11-23 14:31	--------	d-----w-	c:\programme\ERUNT
2010-11-23 13:55 . 2010-11-23 13:55	--------	d-----w-	c:\dokumente und einstellungen\Christiane ****\Anwendungsdaten\Malwarebytes
2010-11-23 13:54 . 2010-04-29 14:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-23 13:54 . 2010-11-23 13:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-23 13:54 . 2010-11-23 13:54	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-11-23 13:54 . 2010-04-29 14:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-23 09:50 . 2010-11-23 09:50	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2010-11-23 09:50 . 2010-11-23 09:50	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2010-10-31 08:12 . 2010-10-31 08:12	--------	d-----w-	c:\dokumente und einstellungen\Christiane ****\Anwendungsdaten\elsterformular

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 10:22 . 2003-04-02 12:00	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2003-04-02 12:00	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2003-04-02 12:00	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2003-04-02 12:00	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-10 05:47 . 2003-04-02 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2003-04-02 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2003-04-02 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-09-01 11:50 . 2003-04-02 12:00	285824	----a-w-	c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2003-04-02 12:00	1852928	----a-w-	c:\windows\system32\win32k.sys
2009-06-25 15:06 . 2009-06-25 15:05	20834304	----a-w-	c:\programme\setup-KingBill-2009.msi
2009-06-25 14:29 . 2009-06-25 14:29	2959376	----a-w-	c:\programme\dotnetfx35setup.exe
2008-06-16 10:56 . 2008-06-16 10:56	66423096	----a-w-	c:\programme\gimp-help-2-2.4.0-setup.exe
2008-06-16 09:58 . 2008-06-16 09:58	17950304	----a-w-	c:\programme\gimp-2.4.6-i686-setup.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OM_Monitor"="c:\programme\OLYMPUS\OLYMPUS Master\Monitor.exe" [2006-05-16 57344]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-04-06 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-04-06 114688]
"SoundMan"="SOUNDMAN.EXE" [2003-05-14 55296]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 147456]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"StatusClient 2.6"="c:\programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" [2004-02-27 61440]
"TomcatStartup 2.5"="c:\programme\Hewlett-Packard\Toolbox\hpbpsttp.exe" [2004-05-20 188416]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-03-13 77824]
"OM_Monitor"="c:\programme\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2006-05-16 40960]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 532776]
"StarMoneyRunEntry"="c:\programme\StarMoney Business 3.0 Deutsche Bank Edition\oflagent.exe" [2009-01-09 58120]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Christiane *****\Startmen\Programme\Autostart\
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Image Zone Schnellstart.lnk - c:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-5-11 73728]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox\\jre\\bin\\javaw.exe"=
"c:\\Programme\\Namo\\WebEditor 6\\bin\\WebEditor.exe"=
"c:\\Programme\\Namo\\WebCanvas\\bin\\WebCanvas.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=

R1 bizVSerial;Franson VSerial;c:\windows\system32\drivers\bizVSerialNT.sys [07.06.2008 16:47 14949]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [09.11.2009 09:16 108289]
R2 cjpcsc;cyberJack PC/SC COM Service ;c:\windows\system32\cjpcsc.exe [07.06.2008 16:47 593920]
R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;c:\windows\system32\drivers\cjusb.sys [07.06.2008 16:47 23040]
R3 ctxc51;ctxc51;c:\windows\system32\drivers\ctxc51.sys [01.03.2007 09:47 1086853]
R3 ctxc52;ctxc52;c:\windows\system32\drivers\ctxc52.sys [01.03.2007 09:47 619369]
R3 ctxc53;ctxc53;c:\windows\system32\drivers\ctxc53.sys [01.03.2007 09:48 51493]
.
Inhalt des "geplante Tasks" Ordners

2010-11-25 c:\windows\Tasks\backup.job
- G:\backup.bat [2009-12-27 12:42]

2010-11-25 c:\windows\Tasks\User_Feed_Synchronization-{5A24FF90-891C-48A3-863E-E92601F68117}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {EA9949E0-7C11-4045-828D-90143CB93F89} = 192.168.2.1
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-11-25 10:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2010-11-25  10:21:01
ComboFix-quarantined-files.txt  2010-11-25 09:20

Vor Suchlauf: 7 Verzeichnis(se), 62.942.236.672 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 62.997.295.104 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 65477225C51C7BF3E8D933A69D2C4114
         
LG
Christiane

Alt 25.11.2010, 13:30   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivir Meldung TR/PSW.LdPinch.L  etc. - ist alles entfernt/wieder sicher? - Standard

Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.11.2010, 16:47   #14
Christiane
 
Antivir Meldung TR/PSW.LdPinch.L  etc. - ist alles entfernt/wieder sicher? - Standard

Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?



Hallo,

hier die Log von Gmer

Code:
ATTFilter
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-11-25 16:22:06
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD5000AAKB-00H8A0 rev.05.04E05
Running: gmer.exe; Driver: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\kgeyruod.sys


---- System - GMER 1.0.15 ----

SSDT    F7A935D6                                  ZwCreateKey
SSDT    F7A935CC                                  ZwCreateThread
SSDT    F7A935DB                                  ZwDeleteKey
SSDT    F7A935E5                                  ZwDeleteValueKey
SSDT    F7A935EA                                  ZwLoadKey
SSDT    F7A935B8                                  ZwOpenProcess
SSDT    F7A935BD                                  ZwOpenThread
SSDT    F7A935F4                                  ZwReplaceKey
SSDT    F7A935EF                                  ZwRestoreKey
SSDT    F7A935E0                                  ZwSetValueKey
SSDT    F7A935C7                                  ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text   ntoskrnl.exe!_abnormal_termination + 1D4  804E2840 4 Bytes  JMP B8F7A935 
init    C:\WINDOWS\system32\DRIVERS\mohfilt.sys   entry point in "init" section [0xF77E9A60]

---- Threads - GMER 1.0.15 ----

Thread  System [4:476]                            B0393680
Thread  System [4:480]                            B0387280

---- EOF - GMER 1.0.15 ----
         

Der Download von Osam ist eine .rar Datei. Die kann ich nicht entpacken. Ich kann nur .zip Dateien entpacken.
hm...was soll ich tun ?

Liebe Grüße
Christiane

Alt 25.11.2010, 20:03   #15
Christiane
 
Antivir Meldung TR/PSW.LdPinch.L  etc. - ist alles entfernt/wieder sicher? - Standard

Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?



Hallo nochmal,

jetzt habe ich mir die Testversion von WinRar besorgt und osam entpackt.

Hier das Ergebnis:

Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 19:51:12 on 25.11.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"backup.job" - ? - G:\backup.bat

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"bdeadmin.cpl" - ? - C:\WINDOWS\system32\bdeadmin.cpl
"DDBACCPL.CPL" - "DataDesign AG" - C:\WINDOWS\system32\DDBACCPL.CPL
"DDBACCTM.CPL" - "DataDesign AG" - C:\WINDOWS\system32\DDBACCTM.CPL
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"QuickTime.cpl" - "Apple Computer, Inc." - C:\WINDOWS\system32\QuickTime.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"Avira AntiVir PersonalEdition Classic " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\catchme.sys  (File not found)
"cdrbsdrv" (cdrbsdrv) - "B.H.A Corporation" - C:\WINDOWS\system32\drivers\cdrbsdrv.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Franson VSerial" (bizVSerial) - "franson.biz" - C:\WINDOWS\System32\drivers\bizVSerialNT.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"Intel (R) System Management BIOS Service" (SMBios) - "Intel Corporation" - C:\WINDOWS\System32\DRIVERS\SMBios.sys
"kgeyruod" (kgeyruod) - ? - C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\kgeyruod.sys  (Hidden registry entry, rootkit activity | File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll
{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WinZip\WZSHLSTB.DLL
{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WinZip\WZSHLSTB.DLL
{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WinZip\WZSHLSTB.DLL

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} "get_atlcom Class" - "NOS Microsystems Ltd." - C:\WINDOWS\Downloaded Program Files\gp.ocx / hxxp://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
{A796D216-2DE1-4EA8-BABB-FE6E7C959098} "HPSDDX Class" - "Hewlett-Packard Company" - C:\WINDOWS\Downloaded Program Files\sdd.dll / hxxp://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab
{EDFCB7CB-942C-4822-AF14-F0B687409848} "Image Uploader Control" - "Aurigma, Inc." - C:\WINDOWS\Downloaded Program Files\ImageUploader4.ocx / hxxp://www.lokalisten.de/iup/ImageUploader4.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} "Office Genuine Advantage Validation Tool" - ? - C:\WINDOWS\system32\OGACheckControl.DLL / hxxp://go.microsoft.com/fwlink/?linkid=58813
{C7DB51B4-BCF7-4923-8874-7F1A0DC92277} "Office Update Installation Engine" - "Microsoft Corporation" - C:\WINDOWS\opuc.dll / hxxp://office.microsoft.com/officeupdate/content/opuc4.cab
{166B1BCA-3F9C-11CF-8075-444553540000} "Shockwave ActiveX Control" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Adobe\Director\SwDir.dll / hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
{17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\WINDOWS\system32\legitcheckcontrol.dll / hxxp://download.microsoft.com/download/5/b/0/5b0d4654-aa20-495c-b89f-c1c34c691085/LegitCheckControl.cab
{88D969C0-F192-11D4-A65F-0040963251E5} "XML DOM Document 4.0" - "Microsoft Corporation" - C:\WINDOWS\system32\msxml4.dll / file://C:\TempEI4\EI40_\msxml4.cab
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -   (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[Known DLLs]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs )-----
"olethk32" - ? - C:\WINDOWS\system32\olethk32.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"HP Image Zone Schnellstart.lnk" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Christiane ****\Startmenü\Programme\Autostart\desktop.ini
"OpenOffice.org 3.2.lnk" - ? - C:\Programme\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"OM_Monitor" - "OLYMPUS IMAGING CORP." - C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"FreePDF Assistant" - "shbox.de" - C:\Programme\FreePDF_XP\fpassist.exe
"HP Software Update" - "Hewlett-Packard Co." - C:\Programme\HP\HP Software Update\HPWuSchd2.exe
"LexwareInfoService" - "Lexware GmbH & Co. KG" - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
"OM_Monitor" - "OLYMPUS IMAGING CORP." - C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe
"QuickTime Task" - "Apple Computer, Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"StarMoneyRunEntry" - "Star Finanz - Software Entwicklung und Vertriebs GmbH" - "C:\Programme\StarMoney Business 3.0 Deutsche Bank Edition\oflagent.exe"
"StatusClient 2.6" - "Hewlett-Packard" - C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe"
"TomcatStartup 2.5" - "Hewlett-Packard" - C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"B's Recorder GOLD Library General Service" (bgsvcgen) - "B.H.A Corporation" - C:\WINDOWS\system32\bgsvcgen.exe
"cyberJack PC/SC COM Service " (cjpcsc) - "REINER SCT" - C:\WINDOWS\system32\cjpcsc.exe
"getPlus(R) Helper" (getPlus(R) Helper) - "NOS Microsystems Ltd." - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Pml Driver HPZ12" (Pml Driver HPZ12) - "HP" - C:\WINDOWS\system32\HPZipm12.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\Desktop )-----
"SCRNSAVE.EXE" - "Irfan Skiljan" - C:\WINDOWS\BILDSC~1.SCR
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
         
MBRCheck erledige ich jetzt als nächstes.

LG
Christiane

Antwort

Themen zu Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?
0x00000001, antivir, antivir guard, avgntflt.sys, avira, bho, computer, desktop, deutsche bank, document, eingefroren, error, excel, flash player, format, hijack, hkus\s-1-5-18, home, homepage, installation, java/agent.2212, lache, location, log files, logfile, monitor.exe, oldtimer, olympus, otl logfile, plug-in, realtek, registry, rundll, safer networking, saver, scan, security, shell32.dll, software, svchost.exe, system, system restore, tcp, trojaner, windows internet



Ähnliche Themen: Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?


  1. Win 7: Hatte Chimera Ransomware Befall, ist jetzt wieder alles "sicher" ?
    Log-Analyse und Auswertung - 07.10.2015 (11)
  2. Antivir findet und entfernt TR/Rogue.955006, bin ich wieder sicher?
    Plagegeister aller Art und deren Bekämpfung - 30.04.2013 (6)
  3. Schadsoftware HDD-Repair entdeckt und entfernt, jetzt alles wieder gut?
    Log-Analyse und Auswertung - 31.08.2011 (5)
  4. Personal Shield Pro v2.2 entfernt. Ist das System wieder sicher?
    Log-Analyse und Auswertung - 10.07.2011 (1)
  5. Hatte Trojaner, habe ihn entfernt. AntiVir bringt jetzt Meldung "verstecktes Objekt" = Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 11.02.2011 (21)
  6. alles auf einmal!antivir deaktiviert, desktopsymbole verschwunden, windows sicherheitscenter meldung
    Antiviren-, Firewall- und andere Schutzprogramme - 11.02.2011 (1)
  7. eMailpasswort gehackt, Probleme mit alles USB-Geräten immer wieder Funde durch Antivir
    Log-Analyse und Auswertung - 08.01.2011 (21)
  8. AntiVir TR/PSW.LdPinch.asvt
    Plagegeister aller Art und deren Bekämpfung - 05.01.2011 (1)
  9. Internet Security Tool entfernt - alles wieder ok?
    Log-Analyse und Auswertung - 28.11.2010 (13)
  10. Security Essentials 2010 entfernt und hoffentlich wieder alles i.O.??
    Log-Analyse und Auswertung - 27.10.2010 (19)
  11. Antivir Solution Pro entfernt - was muss noch entfernt werden?
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (22)
  12. av security suite entfernt -- alles entfernt?
    Log-Analyse und Auswertung - 12.07.2010 (1)
  13. Rootkit.Win32.TDSS und andere Trojaner desinfiziert, ist jetzt wieder alles sicher?
    Plagegeister aller Art und deren Bekämpfung - 14.06.2010 (1)
  14. Alles sicher?
    Log-Analyse und Auswertung - 26.01.2010 (1)
  15. Spyrware und Viren auf meinem PC - bin nicht sicher, ob ich nun alles entfernt habe.
    Plagegeister aller Art und deren Bekämpfung - 29.11.2009 (3)
  16. Logfile prüfen - bin mir nicht sicher ob alles ok ist?
    Log-Analyse und Auswertung - 06.08.2006 (3)
  17. Antivir hat alles mögliche gefunden aber kommt wieder zurück
    Log-Analyse und Auswertung - 27.10.2005 (1)

Zum Thema Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher? - Hallo alle Zusammen, heute meldete der Anti-Viren Guard den TR/PSW.LdPinch.L.. Ich habe auf "löschen" geklickt. Beim anschließenden Virenscan mit Avira Antivir personal wurde dann noch JAVA/Agent.2212 gefunden. Auch ihn habe - Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?...
Archiv
Du betrachtest: Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.